이스트시큐리티 "의료 증명서 발급화면 위장 北 연계 해킹 발견"
(서울=연합뉴스) 한혜원 기자 = 이스트시큐리티는 병원 등 의료기관 증명서 발급 화면으로 위장한 북한 연계 해킹 공격이 국내에 등장했다며 주의를 당부했다.
4일 이스트시큐리티 시큐리티대응센터(ESRC) 분석에 따르면 악성 파일은 지난달 25일 만들어졌으며 실제 공격은 이달 들어 이뤄졌다.
이번 공격은 실제 국내 병원 증명서 발급에 필요한 정상 플러그인 프로그램을 결합해 이용자를 속였다.
파일 내부에는 암호화한 형태로 2개 리소스가 존재하는데 하나는 정상적인 병원 증명서 발급 프로그램이고, 다른 하나는 악성 기능을 수행하는 파일이다. 컴퓨터 화면에는 정상 설치 화면만 보이게 된다.
해당 프로그램이 설치되면 병원 증명서 발급이 정상 진행되지만, 이와 동시에 사이버 보안 위협에 노출되는 것이다.
ESRC는 이번에 발견한 악성 파일이 이전 북한 공격과 유사한지, 연관이 있는지를 조사했다.
조사 결과 이번 공격은 지난달 국내 일부 언론사에 '사내 금융업무 상세내역.zip' 파일로 보내진 지능형지속위협(APT) 공격과 일본 국제문제연구소 보고서로 사칭한 공격 사건의 연장인 것으로 확인됐다.
연구소에 따르면 당시 국내 언론사 대상 공격에서 발견된 위협 지표 중에는 북한 표기식 단어인 '현시'와 공격자가 사용한 '프리헌터'(Freehunter) 계정, 명령 제어(C2) 서버인 'ms-work[.]com-info[.]store' 등 고유한 흔적이 발견됐다.
이번 공격에 사용된 C2 서버는 'ms-work[.]com-pass[.]online' 도메인으로 앞서 언급한 특정 방송사 대상 공격 주소와 유사하고, 주요 함수 구조 역시 일치한 것으로 분석됐다고 연구소는 설명했다.
문종현 이스트시큐리티 센터장은 "특히 다가오는 대통령 선거와 관련해 사회공학적 해킹 공격이 등장할 수 있어 각별한 주의와 대비가 필요하다"고 당부했다.
이스트시큐리티는 이 공격과 관련한 악성 파일 정보를 알약 백신 프로그램에 반영했다.
hye1@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스